Manuel Statik Analiz (LLM Okumali) — PikaBot Loader | Tehdit: YUKSEK

Файл Kimligi

SHA256ce742b7cc94a5c668116d343b6a9677523dc13b358294bba3cd248fba8b880da
Файл Adipikabot_core.bin
Размер333.312 byte
String Sayisi1.390 (agir paket)

Kamuflaj String Analizi

onecoreuapaseppmodel\search\search\search\gatherltrhostufstm.cxx
-- Windows arama altyapisi dahili debug yolu (kamuflaj)
Software\Microsoft\Windows Search\Tracing\EventThrottleLastReported
-- Windows Search kayit defteri yolu (maskeleme)

PikaBot Hakkinda

PikaBot, 2023 yilindan beri aktif olan C++ tabanli, iki modulu olan bir loader ailesidir: loader ve core modul. Qakbot'un Agustos 2023'deki FBI operasyonuyla cekilmesinden sonra boslugu doldurmak icin kullanilmaya baslanmistir. Cobalt Strike ve Black Basta ransomware ile zincir olusturan kampanyalarda tespid edilmistir. C2 ile sifrelenmis HTTPS kanalini kullanir.

IOC

SHA256ce742b7cc94a5c668116d343b6a9677523dc13b358294bba3cd248fba8b880da
ModulPikaBot Core
C2HTTPS (runtime sifrelenmis)

PikaBot — Профиль вредоносного ПО

PikaBot modular loader. NtQuery dual anti-debug. Surrogate U+D800 JSON. Procurement lures.

Тип вредоносного ПО
Loader
Язык программирования
C
C2 Протокол
HTTPS
Целевые системы
Windows

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — PikaBot
# SHA256 ce742b7cc94a5c668116d343b6a9677523dc13b358294bba3cd248fba8b880da
ТипЗначениеПримечание
sha256 ce742b7cc94a5c668116d343b6a9677523dc13b358294bba3cd248fba8b880da
Теги
pikabotloaderagir-paketmodularwindows-searchkamuflaj